カジノサイト
セキュリティ上の意思決定における認知バイアスを明らかにする
Dお、あなたは自分を平均以上の意思決定者だと思いますか?セキュリティ リスク軽減に関する意思決定のすべてではないにしても、ほとんどがロジックによって推進されていますか?もう一度考えてください。
ほとんどのセキュリティ専門家は、自分たちは平均的な人よりも優れた意思決定者であると信じていますが、最近の調査ではそうではないことが証明されています。実際、セキュリティのリーダーは、大多数の国民と同じ偏見の餌食になることが多く、事実や確率ではなく、直感やこれまでの経験に頼っていることに気づくかもしれません。ただし、ほとんどの人と異なり、セキュリティ専門家の偏見は、リスク管理と安全性の決定に重大な影響を与える可能性があります。
認識することがこの問題を解決する第一歩であり、セキュリティ専門家の意思決定ツールの分析により、無数の落とし穴が明らかになりました。
リスク管理プロセス
リスク管理プロセス - で公開されているガイダンスを含む米国規格協会 (ANSI)、カジノサイト インターナショナル、および RIMS によるものは、組織化されているように見え、正確、正確、客観的であると解釈できます。外部コンテキスト、可能性、脆弱性、既存のコントロール、リスク許容度、およびオプションが伝達され、公正に考慮され、必要に応じて追加のリスクの特定、分析、評価、および治療が推進されます。
しかし、詳しく調べてみると、人間の主観的な意思決定が大きな役割を果たしていることがわかります。プロセスの各ステップは決定です。コンテキストの一部として何を考えるか?どのような脅威を、どの資産に対して、どのような期間内で考慮するのでしょうか?どのコントロールを比較し、その有効性はどのようなものですか?その有効性を評価しますか?もしそうなら、どのくらいの頻度で?
このような主観的な決定はセキュリティ管理プロセスの内容を構成し、出力にはセキュリティ意思決定者の個人的な判断が反映されます。
リスクの性質を考慮すると、これは特に驚くべきことではありません。リスク評価基準リスクを「戦略的、戦術的、および運用上の目標の達成に対する不確実性の影響」と定義しており、この定義は、リスクとリスク評価の 2 つの主な構成要素、つまり影響 (結果と呼ばれることが多い) と不確実性 (可能性または確率として表現されることが多い) を明確に示しています。リスクは将来の状況を指すため、定義上、正確に予測することは不可能です。結局のところ、スヴェン・オヴェ・ハンソンが次のように書いています。、「リスクについての知識は、未知についての知識です。」セキュリティ リスクの分野では、悪意のあるリスク、つまり人為的なリスクを扱います。セキュリティ管理のこの側面により、不確実性がさらに高まります。侵入や窃盗などの悪意のある行為を実行する人々は、既存のリスク制御を回避するために、予測不能になったり隠蔽されたりしようとします。犯罪者の手口が常に変化し、場所や時間を含む状況が多種多様であるため、この動的な状況が不確実性を高めます。
過去のセキュリティ リスクとイベントは、リスク評価プロセスの情報を提供するのに役立ちますが、将来のリスクについての確実性を提供するものではありません。したがって、リスク評価は経験、専門家の判断、客観的な事実と証拠の組み合わせとなります。そして、その判断は、過去の経験にどれほど十分に基づいていても、仮定や偏見の影響を受けやすいものです。
バイアスとロジック
何世紀にもわたって、世界中の哲学者は人間の判断と意思決定のプロセスの概念を探求してきました。結局、彼らはここに落ち着きました—人間は、可能な限り最良の結果を達成することを目標として、合理的な意思決定の形式を適用することになっています。たとえば、純粋に合理的な人間は、完璧なパスタソースの瓶を見つけるまでスーパーマーケットの棚を探し、容量、価格、栄養価、味の変数を比較検討します。
しかし実際には、日常の意思決定にそのような深い合理性を適用する人はほとんどいません。代わりに、彼らは必要なものに十分なソースを手に入れて先に進みます。これは心理学者が「」と名付けた概念です。。」消費者が別の商品ではなくある商品に決めたり、セキュリティの観点から別の商品ではなくあるリスク軽減策を選択したりする理由は数多くあります。多くの場合、その理由は個人的な好みや認知バイアスに依存します。
1979 年、学者のエイモス トベルスキーとダニエル カーネマンは、、人間が最善の結果を得るために最適化されていない意思決定を行う体系的な方法を明確に特定しました。意思決定は論理に基づくものではなく、ヒューリスティック、精神的な近道、偏見に陥りやすいことが判明しました。
その業績により 2002 年にノーベル経済学賞を受賞したカーネマンは、次のように主張しています。: 速いのと遅いの。迅速な決定は直感とこれまでの経験に依存しており、ほぼ自動的に行われます。火災現場に到着した消防士は、過去の同様の出来事の経験に基づいて瞬時の判断を下すことがあります。しかし、消防士が明るい緑色の炎やその他の異常に直面した場合、消防士が情報を検討し、可能性について議論するにつれて、意思決定が遅くなり、より慎重になる可能性があります。これにはかなり多くの知力が必要となるため、人間は可能な限り迅速な意思決定に戻る傾向があります。
しかし、セキュリティ上の決定が関係する場合、スピードを緩め、さまざまな可能性について議論し、さまざまな視点を取り入れて、バイアスを認識しながらもバイアスの餌食にならない、より情報に基づいた合理的な決定を下すための特別な努力が非常に貴重です。
情報と信頼
人間は自信過剰であることで有名です。スウェーデンの研究者オラ・スウェンソンによると、アメリカ人の93パーセントが自分は平均以上の運転能力があると考えていることがわかりました。統計的にはそれは不可能です。しかし、セキュリティ専門家は、十分な専門的経験があれば、情報に基づいた合理的な意思決定のルールを回避できると信じており、情報に基づいた意思決定に関して同じ罠に陥っているようです。
この記事の著者の 1 人 (de Wit) は、近年、博士研究プログラムの一環として、物理セキュリティとサイバーセキュリティの両方の領域におけるセキュリティ リスクの意思決定を研究してきました。研究者らはこれまでに 3 回にわたる調査 (約 170 人のセキュリティ意思決定者を含む) で、セキュリティ専門家と情報の関係、情報が意思決定にどのような影響を与えるか、また意思決定に対する偏見の影響を調査しました。
著者の調査によると、セキュリティ専門家の 56.6% は、セキュリティ リスクの影響に関する正確な情報が不足していても、それを推定することはできると述べています。 60.9% は、正確な情報がなくても、リスクの可能性を正確に推定できると回答しました。 4 分の 3 は、結果も可能性も推定できない状況はめったに起こらないと述べています。
この正確な情報の欠如は、セキュリティ専門家も認識していましたが、彼らが意思決定において表明した自信に影響を与えることはありませんでした。リスクの影響に関するセキュリティ上の判断にどの程度自信があるか尋ねたところ、73.8% が常に自信がある、またはほとんどの場合自信があると回答しました。同様に、リスクの可能性に関しては、67.7% がセキュリティ上の判断について同じと回答しました。
セキュリティ専門家は、他の情報源よりも特定の情報源を好みます。専門家 (76.3 パーセント) と同僚 (56.4 パーセント) が最も信頼されており、62.2 パーセントは自分の判断には自分の経験が非常に重要であると述べています。上級管理者からの情報がリスク管理の意思決定にとって非常に重要であると回答したのはわずか 15% でした。
セキュリティ専門家は経験が豊富であればあるほど、自分の意思決定に自信があり、場合によっては自信過剰になることが調査で判明しました。研究者らは、セキュリティの専門家が意思決定を行うためにさらに多くの情報が必要かどうかを尋ねましたが、経験豊富な専門家は拒否し、代わりに直感に頼ることを選択しました。
注意すべき偏見
近年、膨大な数の認知バイアスが特定されており、それらのバイアスはリスク管理の意思決定に大混乱を引き起こす可能性があります。著者の研究では、セキュリティに関する意思決定の実践に対する一連のバイアスを分析し、リスク管理に影響を与える可能性のあるバイアスをいくつか発見しました。
確実な効果。ギャンブルの時間です: 100% の確率で 150 ドルを受け取るか、80% の確率で 200 ドルを受け取るかのどちらかを選択しなければならないとしたら、どちらを選びますか?結果が利益となる場合、確実性効果の影響下にある意思決定者は、200 ドルで 80% の確率の選択が最適であると考えられる場合でも、何も得られない 20% の確率よりも確実性を好む傾向があります。
セキュリティの専門家は、この偏見に対して一般の人々と同じレベルの脆弱性を示しています。セキュリティ専門家の 4 分の 3 が、確実ではあるが最適ではない結果を選択しました。これは、現実の状況ではセキュリティ リスクの軽減を最大限に発揮できなかったり、リソースの使用効率が低かったりする可能性があることを示しています。より現実的な状況を反映するために、研究者が金銭的な損得とセキュリティ リスクの軽減を交換した場合でも、この効果がセキュリティ専門家の意思決定を導きました。
反射効果。これは確実性効果に似ていますが、反射効果は利益ではなく損失に注目します。 150 ドルを失う確実性がある場合、または 80% の確率で 200 ドルを失う場合 (つまり、20% の確率でまったくお金を失わない場合)、人々は定期的にギャンブルに参加します。
警備の専門家は、ここでは一般の人たちと同じような割合でギャンブルをしています。損失が発生する可能性がある場合、セキュリティ専門家の 84% は、確実ではあるが低い損失を受け入れるのではなく、より大きな損失の可能性を賭けて賭けに出ます。セキュリティ リスクの専門家はリスク回避行動を行うと予想されるため、この発見は驚くべきものです。
隔離効果。単独で行われる意思決定はほとんどなく、意思決定に複数の段階が含まれる場合、意思決定者は最初の段階を無視して最後の段階のみに集中する傾向があります。この偏見は、意思決定の組み合わせに関する包括的な見方、つまりある要素が別の要素にどのような影響を与えるかについて、あるレベルの無知を示しており、最適とはいえない結果につながる可能性があります。
この効果の影響を受けるセキュリティ実践の一例は、セキュリティの基本原則の 1 つです。多層防御戦略とは、複数の独立したリスク軽減策を実装することです。これらの層を単独で使用するのではなく、組み合わせて使用すると、リスクを許容可能なレベルまで低減できるはずです。
残念ながら、隔離効果に対する感受性をテストすることはできますが、調査に参加したセキュリティ専門家の 83% が次善の結果を選択しました。これはセキュリティの同心円状の層ではどのように見えるでしょうか?最も可能性が高いのは、層の 1 つが多大な注目を集め、残りの層が無視された場合に、隔離効果が現れることです。
非線形の好み。どのパーセントであっても、1 パーセントは 1 パーセントですよね?間違いです。少なくとも人間の意思決定に関しては。
このバイアス (値関数または確率の歪みとも呼ばれる) は、100 パーセントから 99 パーセントに変化するときの 1 パーセントの認識が、21 パーセントから 20 パーセントに変化するときの認識とは大きく異なることを示しています。これは、たとえば 80 から 20 ではなく 100 から 25 など、より大きなパーセンテージのジャンプでも機能します。どちらも 4 で割られていますが、100 パーセントから 4 分の 1 への知覚価値の変化は、はるかに劇的に感じられます。 (研究により、奇妙なことに、100 パーセントと 99 パーセントの間の 1 つのパーセント変化が 5.5 パーセントの値を保持するように重み付けされていることが判明しました。)
非線形の優先順位の結果として、小さな確率が過大評価される傾向があり、セキュリティ上の決定に大きな影響を与える可能性があります。たとえば、テロ攻撃の確率は通常非常に低いですが、セキュリティ専門家はテロのリスクを軽減するために多大なリソースを投入する可能性があります。これは、テロ攻撃の潜在的な大きな影響と、非線形の選好への偏りの両方により、低い確率にさらなる重みが加えられるためです。
接続の誤り。あなたが民間製薬会社のセキュリティ管理者である場合の 2 つのシナリオを考えてみましょう:
- 来年中に知的財産を抽出する試みが成功する可能性をどのように見積もりますか?
- 疑わしい国家による知的財産の抽出が成功する可能性をどのように推定しますか-今後 1 年間に 1 人以上の内部関係者を使用して、特に新型コロナウイルス感染症の研究をターゲットとする関連攻撃者グループ?
「国家関連の攻撃者集団と思われる人物による」、「特に新型コロナウイルス感染症の研究をターゲットにした」、「1人以上の内部関係者の利用」といった追加の接続詞によって、リスク評価は変わりましたか?論理的には、追加の詳細によりケースがより具体的になり、可能性が低くなるため、短いバージョンの可能性が高いという結論に達します。セキュリティ専門家に関する調査結果は、逆の効果を示しています。
調査参加者は 2 つのグループに分けられ、シナリオの短いバージョンまたは長いバージョンのいずれかが提示されました。平均すると、長期シナリオの可能性は 12.5% 高いと推定されました。セキュリティ専門家のほぼ 4 分の 3 が、詳細なケーススタディの方が短いケーススタディよりも可能性が高く、セキュリティ トレーニングや教育レベルにどちらにしても重大な影響はないと評価しました。
これは接続の誤謬の一例です。シナリオが詳細であればあるほど、より現実的であり、可能性が高く感じられます。ただし、これは実際のセキュリティ リスク評価に重大な影響を与える可能性があります。セキュリティ リスクに関する情報が増えると、理論的にはより具体的な詳細により可能性が低下するはずであるにもかかわらず、ほぼ自動的かつ無意識のうちに個々のセキュリティ リスクの意思決定者のリスク評価が高まります。これにより、たとえば小売業者は、次のようなリスクに対処するために時間とリソースを投資することになります。注目を集めたフラッシュ強盗旗艦店で - これは特定の場所での特定の低頻度のインシデントです - の代わりに万引き全体として。
是正措置
調査では、セキュリティ専門家も一般の人々と同様に認知バイアスに対して脆弱であることが示されました。その結果、彼らの決定はバイアスの影響を受ける可能性が高く、最適性、効率性、効果性が低下する可能性があります。セキュリティと専門的な経験、セキュリティ トレーニング、教育レベルは、認知バイアスの回避に目に見えるほどの重大な効果を示していません。
しかし、すべての希望が失われたわけではありません。セキュリティ専門家が意思決定プロセスにバイアスが働いていることを認識し始めると、少なくとも組織戦略や広範なリスク軽減の取り組みなど、時間的制約がそれほど厳しくない大規模な意思決定に関して、バイアスを軽減するための行動を起こすことができます。偏見の影響を根絶し、そのリスクを軽減するために利用できる手法は数多くあります。このテーマについては他の場所でも広範な研究が行われていますが、手始めに簡単な提案をいくつか以下に挙げます。
グループを集めてください。 複数の視点そして健全な議論は、認識上の間違いを特定し、型破りな解決策を発見するのに役立ちます。必要に応じて、インターン、セキュリティ担当者、人事専門家、施設スタッフなど、一般的ではない参加者を招いて、さらなる視点を求めます。あらゆる思い込みに異議を唱え、潜在的な落とし穴を指摘するために、グループ内に悪魔の代弁者を任命することを検討してください。この人物はやや腹立たしい人物であるため、慎重に反対者を任命し、グループに対するその責任の概要を説明してください。
速度を落としてください。素早い思考は、多くの場合、理性よりも瞬時の決断と直感に依存します。状況が許せば、より長い期間にわたって意思決定を行う計画を立て、その時間を追加の情報と入力の収集に使用します。
選択肢を狙ってください。リスクを軽減するために、有力な候補を 1 人獲得した後でも立ち止まらないでください。代わりに5つを目指してください。最初の強力な解決策に固執することで、意思決定者は高速思考のシステムに陥ります。追加オプションが必要意思決定者はペースを緩め、入手可能な情報と可能性を再検討することを余儀なくされ、より合理的な結論に達する可能性が高くなります。
楽観主義を覆してください。楽観的な考え方は、多くの意思決定の間違いの特徴です。ハーバード ビジネス レビュー次の実行を推奨、将来の障害を想像し、その原因を説明します。このテクニックは、成功を目指す楽観的な目では発見できない問題を特定するのに役立ちます。同時に、意思決定者がバックアップ計画を準備するのに役立ち、成功または失敗に影響を与える可能性のある要因を浮き彫りにします。
このプロセスで最も重要なステップは、カーネマンの言うところの「人間の判断の欠陥」を認識することです。また、セキュリティ専門家は自分の判断に自信を持っていると公言していますが、偏見や同様の認知的特性に対して他の人同様に脆弱です。何が分からないのかを知り、その認識に基づいて行動することで、セキュリティ担当者はより合理的な意思決定を行えるようになるはずです。
Johan de Wit は、シーメンス スマート インフラストラクチャでエンタープライズ セキュリティ担当技術責任者として勤務し、シーメンスのグローバル ポートフォリオ開発に携わっています。彼はデルフト工科大学でセキュリティ科学の修士号と博士研究職を取得しており、セキュリティ リスク評価の特徴を研究しています。彼は、オランダ国立サイバー セキュリティ センター、カジノサイト インターナショナル、情報セキュリティ フォーラム、米国国務省のオランダ海外安全保障諮問委員会 (OSAC) など、さまざまな専門家コミュニティや諮問委員会のメンバーです。彼はカンファレンスや大学で定期的に講演しており、複数の論文や記事を出版しています。
クレア・メイヤーはの編集長ですセキュリティ管理。 LinkedIn や Twitter で彼女とつながりましょう、または次のアドレスに直接メールを送信してください[email protected].
